详情
本书首先回顾了MPLS VPN体系结构,然后描述了与高级MPLS VPN连接相关的知识,接着描述了MPLS VPN一些高级应用问题,并给出允许更多高级拓扑和过滤的安全特性的详细内容,最后提供了高级MPLSVPN疑难解析的方法。
书名:MPLS和VPN体系结构(第2版•修订版)
ISBN:978-7-115-29053-3
本书由人民邮电出版社发行数字版。版权所有,侵权必究。
您购买的人民邮电出版社电子书仅供您个人使用,未经授权,不得以任何方式复制和传播本书内容。
我们愿意相信读者具有这样的良知和觉悟,与我们共同保护知识产权。
如果购买者有侵权行为,我们可能对该用户实施包括但不限于关闭该帐号等维权措施,并可能追究法律责任。
• 著 [美] Ivan Pepelnjak,CCIE#1354
Jim Guichard,CCIE#2069
Jeff Apcar
译 孙余强
责任编辑 傅道坤
• 人民邮电出版社出版发行 北京市丰台区成寿寺路11号
邮编 100164 电子邮件 315@ptpress.com.cn
• 读者服务热线:(010)81055410
反盗版热线:(010)81055315
MPLS and VPN Architectures, Volume II (ISBN: 1587051125)
Copyright © 2003 Pearson Education, Inc.
Authorized translation from the English language edition published by Cisco Press.
All rights reserved.
本书中文简体字版由美国Cisco Press授权人民邮电出版社出版。未经出版者书面许可,对本书任何部分不得以任何方式复制或抄袭。
版权所有,侵权必究。
本书在《MPLS和VPN体系结构》(第1卷)的基础上讨论MPLS VPN技术的最新发展及高级应用。全书分为4个部分,共9章。第1部分是引言,简要回顾了MPLS VPN体系结构;第2部分讲述PE-CE高级互连技术,包括MPLS VPN远程访问、PE-CE路由协议的增强和高级特性、虚拟路由器组网技术;第3部分讨论了MPLS VPN技术的高级应用,包括MPLS VPN骨干网安全防护、大规模路由选择技术和多家服务提供商之间的连网技术、多播VPN技术、跨MPLS骨干网传输IPv6流量技术;第4部分探讨了MPLS和MPLS VPN网络中的故障排除技术。
本书面向中、高级网络技术人员。对于需要参与高级、大规模MPLS或MPLS VPN网络的设计、维护与应用的人来说,本书是必读书籍。
Jim Guichard, CCIE #2069,是Cisco公司Internet技术部门(Internet Technologies Division)的第2任技术负责人。在IBM和Cisco效力的6年里,Jim参与过多项大型WAN/LAN项目的设计、实施和规划工作。凭借着广博的专业知识、丰富的项目经验,以及对复杂的Internet网络体系结构的理解,Jim为Cisco的许多大型服务提供商客户提供过有价值的援助。此前,Jim曾著有《MPLS和VPN体系结构》(第1卷)。
Ivan Pepelnjak, CCIE #1354,是NIL数据通信公司(www.NIL.si)的首席技术顾问和董事会成员。NIL数据通信是一家高科技数据通信公司,专注于为新型服务提供商提供增值技术服务。
Ivan在大企业和服务提供商广域网/局域网(其中的某些网络已部署了MPLS VPN)的设计、安装、故障排除及运维方面,拥有10多年的经验。他还是许多大获成功的高级IP技术教程的编写者或主要开发者,这些IP技术教程涵盖MPLS/VPN、BGP、OSPF以及IP QoS技术等。Ivan同时也是NIL远程实验室网络的设计者。此前,Ivan曾著有《MPLS和VPN体系结构》(第1卷)及《EIGRP Network Design Solutions》两书。
Jeff Apcar是Cisco公司亚太地区高级服务团队的高级设计咨询工程师。他是Cisco公司MPLS技术专家组成员之一,曾为亚太地区的多家服务提供商设计过基于数据包和信元的MPLS网络。Jeff还设计并维护过500+节点的大型IP路由网络,他对各种网络通信技术都有深入的研究。
Jeff在数据通信行业浸淫了24年,持有澳大利亚悉尼科技大学理学荣誉学士学位(计算机科学专业)和工科研究生文凭(信息处理专业)。
Matthew H. Birkner, CCIE #3719,是Cisco公司的技术负责人,以IP和MPLS网络设计见长。他对多家大型运营商及大企业在世界范围内的连网设计产生过举足轻重的影响。过去几年,Matt在美国和EMEA(欧洲、中东、非洲地区)举办的Cisco Networkers上都发表过MPLS VPN技术方面的演讲。身为双料CCIE,他著有《Cisco Internetwork Designs》一书。Matt获得过Tufts大学电子工程专业的学士学位。
Dan Tappan是Cisco公司的杰出网络工程师(distinguished engineer)。在业界,他有着20多年的从业经验,曾在Bolt、Beranek和Newman公司参与过ARPANET从NCP到TCP的割接工作。过去几年,Dan一直是Cisco公司实施MPLS(标记交换)及MPLS/VPN网络的技术领导。
Monique Morrow目前是Cisco公司的CTO顾问工程师。在业界,她有20年的从业经验,经验包括:设计并实施复杂的客户网络项目,以及服务提供商的业务开发等。Monique曾参与过网络管理服务的开发工作,涉及服务提供商网络环境中的远程访问和LAN交换网络的管理服务。她曾效力于美国和欧洲的多家大企业以及服务提供商。1999年,由她领导的工程项目团队在某服务提供商搭建出了欧洲第一个MPLS-VPN网络。
致我的爱妻Sadie,为支持我著书立说,有多少孤单长夜与你相伴。致我的孩子Animee和Thomas,你们总让我保持微笑。
——Jim
致我的爱妻Karmen,你总会在第一时间给我支持和鼓励。致我的孩子Maja和Monika,你们总是耐心地等待爸爸的关注。
——Ivan
致我的爱妻Anne,你在每个方面都那么优秀。致我的孩子Caitlin、Conor和Ronan,尤其是Ronan,尽管你不停地尝试重启我的PC,但我只弄丢过一次书稿。
——Jeff
每个大项目都需要团队协作,本书也不例外。我们要感谢在本书漫长编写过程中给予过帮助的每一个人,他们是:责任编辑Grant Munroe,他帮忙处理了书中表达不清的地方;Cisco Press编辑团队的其他成员;特别要感谢本书的技术审稿人Dan Tappan、Matt Birkner和Monique Morrow,他们不但纠正了书中的错误和疏漏,还提出了不少提升本书品质的有用建议。
Jeff要感谢他的领导:Tony Simonsen、Michael Lim和Steve Smith,感谢他们对写作本书所给予的时间及鼓励。Jeff要特别感谢AsiaPac Lab Group的同事:Nick Stathakis、Ron Masson和George Lerantges,是他们让Jim始终独占实验室的网络设备。Jeff最后还要感谢Jim和Ivan,感谢二位邀请他合著本书。
要是没有我们的家属,特别是我们各自的妻子Sadie、Karmen和Anne,默默地支持与关爱,本书永无付梓之日。
自Cisco Press出版了我们的第一本MPLS技术书籍《MPLS和VPN体系结构》(第1卷)以来,MPLS已从一项热门的前沿技术(支持Internet业务和基于专线的VPN解决方案),发展成为成功部署在世界各大服务提供商网络内的一整套网络解决方案。要想满足各大服务提供商对网络提出的需求,就得不断发展和完善各种各样的网络解决方案,Cisco也将自己的许多IOS特性都改良为支持VPN-aware(VPN感知)功能,以便服务提供商在新的体系结构框架内开展新的业务。因此,本书自然也会延续卷1的思路,来描述MPLS技术的增强特性,及其在Cisco IOS中的实现。
本书并非多协议标签交换(MPLS)或虚拟专用网(VPN)技术的入门书籍,《MPLS和VPN体系结构》(第1卷)会提供上述技术的入门知识。本书的目的是要帮助读者掌握MPLS VPN高级特性,能使读者根据各种复杂的网络设计,实现MPLS和MPLS VPN解决方案。参与大型MPLS或MPLS VPN网络设计、部署以及故障排除的任何人都应该阅读本书。
本书设计灵活,读者既可按页码顺序阅读,也可在章、节之间自由翻阅,以获取自己所需要的知识。若读者打算通篇阅读,按页码顺序阅读即可。
第1部分:引言
第1章:“MPLS VPN体系结构概述”,是对MPLS和VPN体系结构所涉知识点的回顾。本章并未详述MPLS或MPLS VPN技术;若读者需要了解MPLS或MPLS VPN技术的基础知识,请先阅读《MPLS和VPN体系结构》(第1卷)。
第2部分:PE-CE高级互连技术
第2章:“MPLS VPN远程访问”,讨论了诸如拨号、DSL和Cable等接入技术与MPLS VPN骨干网的“紧密协作”。本章讲述了服务提供商如何使用各种接入技术,将各类客户接入MPLS骨干网,为其提供MPLS VPN业务。
第3章:“PE-CE路由协议的增强和高级特性”,以《MPLS和VPN体系结构》(第1卷)为基础,介绍了OSPF协议在MPLS VPN网络环境中的高级功能,以及IS-IS和EIGRP路由协议对MPLS VPN网络环境的支持。
第4章:“虚拟路由器组网技术”,讨论了如何使用VRF来组建通过虚拟路由器互连的网络,如此一来,就将VRF这一概念从PE路由器延伸到了CE路由器。本章还介绍了Cisco开发的与VRF有关的新特性,包括VRF-lite和PE-NAT(在PE路由器上执行的网络地址转换)特性。
第3部分:高级部署场景
第5章:“MPLS VPN骨干网安全防护”,探讨了MPLS VPN骨干网的各种安全性问题,描述了服务提供商为保障骨干网及与其相连的VPN站点网络安全所采取的必要措施。
第6章:“大规模路由选择技术和多家服务提供商之间的连网方式”,描述了自从《MPLS和VPN体系结构》(第1卷)出版以来,因Cisco 对IOS相关特性的改进,而催生出的与MPLS(MPLS VPN)有关的高级特性、设计和拓扑结构。
第7章:“多播VPN”,讨论了IP多播在VPN客户端站点间的部署方式。
第8章:“跨MPLS骨干网传输IPv6流量”,讨论了6PE模型,服务提供商可借此模型,在启用了MPLS功能的IPv4骨干网内传输IPv6流量。
第4部分:故障排除
第9章:“排除MPLS网络故障”,介绍如何定位并排除MPLS网络环境中的故障。
书中将会出现如下网络设备图标。
以下图标表示外围设备和其他设备。
以下图标表示网络和网络连接。
本书命令语法遵循的惯例与IOS命令手册使用的惯例相同。命令手册对这些惯例的描述如下。
第1章 MPLS VPN体系结构概述
与传统的企业网组网方式相比,服务提供商提供的虚拟专用网(VPN)业务要更具成本优势。故其近来深受设备制造商、网络资询人员/设计师、服务提供商、大企业以及最终客户的青睐。与大多数技术一样,当今VPN网络及其底层技术的根基均构建于20多年以前。在它们的发展历程中,客户们也逐渐意识到,用“纵贯”共享式基础设施的虚拟连接,来取代各自私有网络中站点间的物理链路,可以节省更多的成本。而如此行事的前提条件是:共享基础设施(或VPN)网络环境在安全性和机密性方面要不逊于被其取代的网络(链路)。
为确保读者能够理解书中出现的技术名词,本章会对多协议标签交换(MPLS)以及围绕其来构建的VPN的基本概念和术语进行回顾。此外,本章还会介绍MPLS VPN领域的最新进展,并概述服务提供商如何利用这些新成果来提供基于MPLS的新型服务,这些新型服务包括:基于MPLS VPN并与其“水乳交融”的远程访问业务和IP多播业务等。本书后面几章会对这些新业务的最新进展展开深入探讨。
注意:在《MPLS VPN体系结构》(第1卷)(由Ivan Pepelnjak和Jim Guichard合著)中,读者可以找到有关上述概念,以及有关VPN或MPLS背景知识的详细论述,这也是理解本书内容的先决条件。
自X.25和帧中继技术起(起初,服务提供商开展VPN业务时,正是借助于这两项技术),人们又陆续研发出了各种各样的技术,用来搭建VPN基础设施。这些技术牵扯面甚广,既涉及第2层(X.25、帧中继和异步传输模式[ATM]),也涉及第3层(主要为IP),甚至还涉及第7层。IBM曾经推出过一种产品,可用在系统网络体系结构(SNA)应用会话上,传输IP数据包;而TGV(该公司后来被Cisco公司兼并)也实现了用DECnet会话来传输IP数据包。由于存在诸多VPN实现的提议,因此VPN领域内的术语也发生了巨大的变化,其实这也不足为奇。本书使用的术语援引自MPLS VPN领域。在MPLS VPN领域,就术语而言,服务提供商网络(P网络)和客户网络(C网络)差别很大,如图1-1所示。
图1-1 MPLS VPN领域内的术语称谓
P网络的拓扑总是连续的,而C网络通常都被(P网络)明确分割为若干站点网络(C网络中未被分割的网络使用除VPN业务以外的其他联网方式互连)[1]。请注意,客户的任一站点网络都不受地理位置的约束;对客户来说,若申请VPN业务是为了实现不同国家间站点网络的互联,那么该客户的一个站点网络可横跨某个国家。
客户边缘(CE)设备是指将客户站点网络连接到P网络的设备,而CE设备上连的服务提供商设备则称为提供商边缘(PE)设备。在大多数情况下,P网络并不只是由PE路由器构成。P网络中的其他设备称为P设备(若P网络用第3层技术搭建,则称P设备为P路由器)。同理,在客户站点内,那些不与P网络直接相连的其他第3层设备称为C设备。
随着VPN技术的发展,服务提供商主要通过以下两种方式来开展VPN业务。
先介绍面向连接型VPN。该类型的VPN有很多明显的优点,包括以下几个方面。
图1-2 面向连接型VPN:物理拓扑
图1-3 面向连接型VPN:客户网络的路由拓扑
面向连接型VPN也有以下几处明显的“短板”。
注意:欲了解关于面向连接或无连接VPN的更多优缺点,请参阅《MPLS和VPN的体系结构》(第1卷)第8章。
现代化的面向连接型VPN可通过若干种技术来实现,如下所示。
与面向连接型VPN相反,无连接型VPN可跨P网络传播由CE设备发出的数据包。虽然当今在用的Internet已证明其具有极高的可扩展性,但对客户来说,还有如下限制。
无连接型VPN环境中,不论CE路由器配置的简单性,还是公用网络基础设施对基于IP的VPN业务,以及公共IP业务(Internet业务)良好的支撑性,都是促使众多服务提供商考虑开展无连接型VPN业务的催化剂。可刚开始,客户们并不“买账”。因为,没有客户愿意对自己的现有网络基础设施重新编址,并恪守服务提供商的编址要求。所以,需要一项与众不同的VPN技术来支撑服务提供商推出的这一新型VPN业务,这项技术要兼具无连接型VPN与面向连接型VPN的优点(前者的优点有:CE路由器配置简单、无需手工调配虚电路;后者的优点包括:支持重叠的地址空间、P设备对数据包的转发“直截了当”)。
图1-4 无连接VPN内的数据包传播
基于MPLS的VPN将面向连接型和无连接型VPN的优点合二为一,其特征如下所列。
下一节会对MPLS和MPLS VPN技术做简要回顾。欲了解MPLS和MPLS VPN技术的细枝末节,请参阅《MPLS和VPN体系结构》(第1卷)。欲了解更多与基于ATM的MPLS实现有关的信息,请参阅Cisco Press出版的《Advanced MPLS Design and Implementation》。
就本质而言,MPLS技术兼具IP路由的丰富性和帧中继/ATM逐跳标签交换的简洁性,从而将面向连接的转发模型与IP世界无缝地集成在了一起[7]。拜MPLS的“双面性”(可同时操作于标签交换层面和IP层面)所赐,人们把MPLS设备称为标签交换路由器(LSR)。本节将描述MPLS设备的典型运作方式,重点介绍最简单的MPLS应用——穿MPLS网络转发IP数据包。
为构建IP路由表,MPLS网络中的所有设备都会在其控制平面运行IP路由协议。具备IP数据包转发功能的MPLS设备,都会利用IP路由表来构建IP转发表(也称为转发信息库(FIB))。而对于只支持标签转发功能的MPLS设备(比如,具备MPLS功能的ATM交换机),则没有IP路由表和FIB这一说。图1-5所示为MPLS控制平面的IP路由选择[8]。
图1-5 LSR构建IP路由表
构建完IP路由表之后,LSR会为IP路由表所含路由表项(IP前缀)分别指派(或分配)MPLS标签,并通过标签分发协议(LDP)将标签分配信息传播给相邻MPLS设备。
注意:在常规MPLS操作中,为了将数据包转发至与BGP路由相对应的目的网络,路由器总会在IGP路由表中对相关BGP路由的下一跳地址执行递归查找,并不会为BGP路由指派标签。因此,路由器可籍与BGP路由下一跳地址“挂钩”的标签,将数据包转发至与BGP路由相对应的目的网络。
(指派标签时),标签值会取自每台MPLS设备的本机局部标签空间(标签值范围);而不是使用全网唯一或集中化的标签(值)分配方案,这使得MPLS集健壮性和可扩展性于一身。MPLS设备所指派的每一个标签,都作为(数据包的)入站标签,并由设备本身的标签转发信息库(LFIB)“记录在案”,LFIB是指MPLS设备用来对数据包执行“标签交换”的转发表。图1-6演示了MPLS设备是如何(为路由)指派(分配)标签,并把标签和路由的绑定信息发布(分发)给其他MPLS设备的。
图1-6 LSR内控制平面操作
LSR会用一张名为标签信息库(LIB)的表,将本机以及相邻MPLS设备(针对IP路由)做出的大多数标签绑定(分配)(label assignment)决策记录在案。为实现纯标签转发(即转发IP数据包时,只查询标签),MPLS设备会把下游设备(下一跳设备)分配给特定IP前缀的标签,以出站标签的形式“录入”本机LFIB。若该MPLS设备还具备转发IP数据包的功能,上述标签还会记录在其FIB中,以支持IP到标签(IP-to-label)的转发方式(即流入时是纯IP包,流出时封以MPLS垫片头;反之亦然)。
构建完IP路由表、IP转发表和标签转发表之后,MPLS设备就可以转发IP流量了。所有MPLS设备都必须支持标签转发;无论何时,只要收到了带标签的(labeled)数据包,MPLS设备都会在LFIB中执行标签查找:用出站标签替换入站标签,并将带标签的数据包转发至下一跳LSR。某种类型的MPLS设备(入站LSR)还能够接收纯IP数据包,在FIB中执行查找,根据存储于其中的信息在包头前插入一个MPLS标签栈,再将带标签的IP数据包转发给下一跳LSR。在MPLS VPN网络环境中,PE路由器便是此类MPLS设备的一例。
另外一种类型的MPLS设备(出站LSR)可接收带标签的数据包,执行一次LFIB查找,并因LFIB中无相对应的出站标签而将标签删除;随后,再将纯IP数据包转发给下一跳IP路由器。在大多数情况下,除非由ATM交换机充当LSR,否则MPLS网络中的所有LSR可同时充当出/站LSR。图1-7所示为IP数据包或带标签的数据包在穿越LSR时,所能采取的不同路径。
图1-7 LSR内部的包转发
以下所列为MPLS的许多其他应用,这些应用全都基于MPLS的基本原理。
其他基于MPLS的新应用也层出不穷。比如,某种MPLS新应用(本书也会介绍)可“借用”IPv4 MPLS网络,传输IPv6数据包;这种新应用会先通过IPv6路由协议构建IPv6路由表,然后根据此表来分配标签,通告标签与IPv6的绑定信息(标签分发)。
MPLS的应用虽然五花八门,但万变不离其宗(都得遵守同一套“游戏规则”[公共框架])。每种MPLS应用可能都有属于自己的“路由协议”、LDP和转发数据库。然而,所有应用却只能共享一个公共的LFIB,这样一来,服务提供商就能够在不影响现有业务的基础上,以透明的方式,在LSR上运行MPLS新应用,如图1-8所示。
图1-8 LSR单机可运行的多种MPLS应用
如前所述,MPLS VPN兼具客户和服务提供商间的无连接型VPN,与核心网络内面向连接型VPN的优点。无连接型VPN的优点有两个:可简化VPN网络环境的复杂性;可缩减运维成本。连接型VPN的优点是,可降低P设备的成本。此外,人们还为MPLS VPN开发出了若干附加功能,好让不同的客户使用相同的IP地址空间。
在典型的MPLS-VPN网络环境中,CE和PE路由器可用任何一种IP路由协议交换客户路由。客户路由会“进驻”PE路由器的VRF,以确保客户网络间的完全隔离。图1-9展示了上述过程,本图同时展现了一台PE路由器(San Jose PE路由器)的内部结构。该PE路由器下连两个VPN客户(FastFoods和EuroBank),上连一台P路由器(Washington)。
客户路由“进驻”VRF时,PE路由器会为分别为其分配(allocate)MPLS标签,要想在站点间转发VPN流量,该标签必不可缺。PE路由器会通过多协议BGP跨P网络通告客户路由,与路由相关联的MPLS标签(值)也会随之一并通告。
对于使用同一地址范围的不同客户来说,为确保其IP地址的全局唯一性,PE路由器在把客户路由插入MP-BGP(运行于服务提供商网络设备之间)之前,会为其添加一个64位的路由区分符。服务提供商可利用额外的BGP属性(BGP扩展团体属性),来控制VRF间的路由交换,以构建VPN拓扑结构。使用任何其他的VPN技术,都绝不可能构建出这样的VPN拓扑。
图1-9 PE路由器的虚拟路由表
注意:与MPLS VPN网络拓扑和实施有关的详情论述,请见《MPLS和VPN体系结构》(第1卷)。
还可以利用BGP扩展团体属性,来实现MPLS VPN的其他功能,包括:用SOO(源站)团体属性实现自动路由过滤,以及跨BGP骨干网自动传播OSPF路由属性(本书第3章会细谈BGP扩展团体属性对OSPF的支持)。
跨MPLS VPN骨干网转发VPN流量的基础是,MPLS设备根据压在IP数据包包头前的MPLS标签栈(由入站PE路由器压入),执行标签转发。标签栈内的第一个标签是指派给服务提供商核心网络内出站PE路由器(BGP路由的下一跳)IP地址的标签。第二个标签是由出站PE路由器为VPN(客户)路由指派的标签。转发VPN流量时,拜赐于名为倒数第二跳弹出(penultimatehoop popping)的过程,出站PE路由器的前一跳设备一般会先将标签栈中的第一个标签移除。然后,出站PE路由器将根据VPN标签值来执行标签查找、移除VPN标签,并将VPN流量转发给CE路由器。上述过程如图1-10所示。
图1-10 MPLS VPN网络中VPN流量的传播
从San Jose发往Lyon的IP数据报,在穿越服务提供商骨干网时,会经历如下“遭遇”。
(1)CE路由器将IP数据报发送给PE路由器。
(2)PE路由器执行IP查找,在IP报头前添加一个MPLS帧头,该帧头包含两个标签:一个是由LDP指派的标签(即IGP标签,或IL),用来标识通往出站PE路由器(Paris)的数据报转发路径;另一个是由Paris PE路由器指派的VPN标签(VL)。
(3)部署在服务提供商网络内的倒数第二跳路由器移除IGP标签,令数据报的MPLS帧头只剩一个VPN标签。
(4)出站PE路由器根据VPN标签值执行标签查找,移除MPLS帧头,将IP数据报转发给Lyon CE路由器。
全球的许多家服务提供商都对MPLS和MPLS VPN技术奉若神明。利用这两项技术,服务提供商就能够在公用网络基础设施上,开展两种最为常见的业务——Internet访问业务和VPN业务。对不同服务提供商而言,其基础设施的规模、接入层技术的选取、IP路由的设置,以及开展新业务的热衷程度都千差万别,于是,也促使人们开发出了下列与MPLS密不可分的新特性。
本书后文会对以上每一项特性展开深入探讨。
MPLS VPN技术刚实现不久,可支持客户站点通过永久连接,接入服务提供商骨干网。此类连接一律用第2层技术来实现,在IOS代码库中,那些第二层技术的代码也早已成型。网络工程师虽然也能施以巧计,让MPLS VPN网络支持其他类型的接入技术(尤其是拨号接入技术),但许多配套技术都不具备MPLS VPN功能,从而迫使服务提供商放弃使用MPLS VPN技术,这也是它们所不愿意的。
于是,Cisco在其IOS中添加了以下VPN感知(VPN-aware)功能,将MPLS VPN与各种接入技术紧密地联系在一起。
本书第2章会对以上所有特性,以及与MPLS VPN紧密关联的各种接入技术展开深入讨论。
Cisco在IOS中增加了PE和CE路由器间所支持的IP路由协议的种类,新版本的IOS支持增强型IGRP(EIGRP)、集成IS-IS以及OSPF连通性附加选项(包括,PE路由器间的OSPF sham link)。此外,Cisco IOS还支持MPLS VPN网络环境中的IP多播功能,以及PE路由器上的per-VRF网络地址转换(NAT)。这些内容会放在本书第3章、第4章和第7章来讲解。
作为另一种第三层协议流量,IPv6流量(亦称下一代IP,IPng)可与IPv4流量一起,跨越MPLS骨干网发送。本书第8章会讲述如何借助MPLS网络传递IPv6流量。
多家服务提供商都对基于MPLS的VPN“情有独钟”。因为利用MPLS VPN技术,那些服务提供商不但利用公用网络开展所有业务(VPN和Internet访问业务),而且还能显著降低其调配和运营成本。此外,由于MPLS VPN还兼具面向连接型及无连接型VPN之所长,因此可简化服务提供商对VPN的供应机制,从而使其开源节流。
与其他任何VPN解决方案一样,端到端的MPLS VPN解决方案也是由中央P网络来分隔并连接大量客户站点(C网络站点)。客户站点通过CE设备(CE路由器)接入PE设备(PE路由器)。每台PE路由器都“孕育”若干VRF(虚拟路由和转发表)——每个VPN客户至少需要一个VRF。跨MPLS VPN网络交换客户路由,转发客户数据包时,那些路由表(指VRF)以及运行于PE路由器间的多协议BGP都会派上用场。转发客户数据包时,PE路由器会完成标签的压入(入站PE路由器)和移除(出站PE路由器)工作,而MPLS VPN网络中的中央设备(P路由器)只是根据标签来交换数据包。
自MPLS技术暂露头角以来,基于MPLS的VPN解决方案也几经重大改进。经过改进的MPLS VPN的新特性不但可很好地与各种接入技术(传统的第二层接入技术)相融合,而且还能支持其他的PE-CE路由协议,以及跨MPLS骨干网的新型数据传输技术(跨MPLS骨干网传输IPv6数据包)。
[1] 译者注:原文是“The P-network is always topologically contiguous, whereas the C-network is usually clearly delineated into a number of sites (contiguous parts of the customer network that are connected in some way other than through the VPN service)”。要想说透作者的愿意,按字面意思直译肯定不行,译文只能做此变通,如有不妥,请指正。
[2] 译者注:原文是“It is unnecessary for the service provider or the customer to establish VCs in these VPNs, except perhaps between the PE and CE routers if the service provider uses switched WAN as its access network technology”。
[3] 译者注:原文是“Layer 3 over Layer 3 tunnels”。
[4] 译者注:原文是“The interface between the CE routers and the PE routers is connectionless”。译者不明其意,直译。
[5] 译者注:原文是“the IP topology of the P-network”。直译。
[6] 译者注:原文是“The mapping between the customer’s destination addresses and LSPs leading toward the egress PE routers is performed automatically based on the BGP next-hops”。括号里的译文为译者自行添加,如有不妥,请指正。
[7] 译者注:原文是“In essence, the MPLS technology combines the richness of IP routing and the simplicity of hop-by-hop label switching of Frame Relay or ATM to provide the seamless integration of the connection-oriented forwarding with the IP world”。译文按字面意思直译。
[8] 译者注:原文是“The IP routing operation of the MPLS control plane is shown in Figure 1-5”。其中“IP routing operation of the MPLS control plane”直译为“MPLS控制平面的IP路由选择”。
